1.一言不合就越獄！盤古團(tuán)隊(duì)越獄 iOS 10

iOS 每一次大版本的升級(jí)，都會(huì)讓安全性大大提升。但在真正的越獄大牛眼里，這不是什么問題。

在今天的 MOSEC 移動(dòng)安全技術(shù)峰會(huì)上，聲名赫赫的安全團(tuán)隊(duì)盤古毫無征兆地在演講末尾加了一個(gè)“One More Thing”——越獄 iOS 10 Beta 1。

作為主辦方，盤古團(tuán)隊(duì)最后一個(gè)登場，演示了這個(gè)視頻，在視頻中，僅僅數(shù)次點(diǎn)擊，就成功安裝了cydia。

盤古團(tuán)隊(duì)老牌“越獄達(dá)人”徐昊曾經(jīng)是中國首位越獄 iOS 的黑客，他告訴雷鋒網(wǎng)

由于iOS增加了很多新的防御機(jī)制，這導(dǎo)致越獄的難度變大。但是，盤古手中掌握的幾個(gè)重要漏洞，仍然可以使用。

這說明，至少蘋果在 iOS 10 的 beta 1 版本中，還沒有修復(fù)這些漏洞。徐昊表示，暫時(shí)不知道在 iOS 的后續(xù)版本中是否會(huì)封堵這些漏洞。

徐昊同時(shí)告訴雷鋒網(wǎng)一個(gè)讓人遺憾的消息，這次發(fā)布越獄 Demo 的目的只是展示技術(shù)，團(tuán)隊(duì)暫時(shí)沒有計(jì)劃放出 iOS 10 越獄工具。

2.Twitter CEO Twitter賬戶被黑，大寫的尷尬

據(jù)外媒報(bào)道，黑客組織OurMine這次可真是揚(yáng)名立萬了，繼攻陷Facebook CEO和谷歌CEO等科技大佬的Twitter賬號(hào)后，OurMine在周六成功黑掉Twitter CEO杰克·多西(Jack Dorsey)的Twitter賬號(hào)。

盡管只有三名成員，但OurMine的“功力”相當(dāng)了得。在短暫黑掉多西的賬戶期間，OurMine發(fā)布了幾段視頻嘲笑Twitter公司，其中至少有一條包含文本、諷刺主題的歌曲視頻以及OurMine的官網(wǎng)鏈接。推文寫道：“嘿，這里是OurMine。我們?cè)跍y試你的賬戶安全，請(qǐng)?jiān)L問OurMine.org網(wǎng)站?！边@些推文據(jù)稱在美國東部時(shí)間早3:25被刪除。

多西的賬戶如何被黑目前還是一個(gè)謎。在由于其他網(wǎng)站的原因造成大量密碼被泄露后，Twitter上個(gè)月采取措施鎖定了部分賬戶，不過多西的賬戶被黑顯示出，即使是Twitter的老總也難以避免此類事件。

3.白帽子被抓事件：獲取計(jì)算機(jī)系統(tǒng)數(shù)據(jù)罪與非罪的界限

本案在網(wǎng)絡(luò)安全界已經(jīng)是討論地?zé)峄鸪?，因本案中已?jīng)公開的資料中，諸多細(xì)節(jié)點(diǎn)未得到司法機(jī)關(guān)官方公布。故依據(jù)最近來源原則，只局限于討論袁煒父親《致第四屆網(wǎng)絡(luò)安全大會(huì)的一封信-白帽子檢測漏洞到底是不是犯罪？》（以下簡稱《公開信》）中描述情況作分析。

如果按普羅大眾對(duì)于“允許”的通行或表象認(rèn)定來看，或許袁煒并未征得世紀(jì)佳緣的允許，但至少在袁煒事件發(fā)生前，世紀(jì)佳緣網(wǎng)對(duì)于烏云網(wǎng)的此種溝通方式并未提出明示的反對(duì)。而顯然，袁煒也是烏云網(wǎng)的注冊(cè)實(shí)習(xí)白帽子，其與世紀(jì)佳緣的關(guān)系，應(yīng)當(dāng)可適用此前的雙方行為慣例。

正如普羅大眾對(duì)于合同的理解一樣，只有正式的書面合同才可稱為合同，而在司法實(shí)踐中，口頭合同、甚至于行為合同也是一份合同。例如我們?cè)跁鴪?bào)亭買一份報(bào)紙，并不需要言語甚至于眼神的溝通，只需要放下一元錢，則可以取走一份報(bào)紙。

根據(jù)大陸法系國家的民法，采用表示主義，指當(dāng)行為人的效果意思與其表示行為不—致時(shí)，法律按行為人表示出來的意思賦予此行為以法律上的效果。其目的在于側(cè)重保護(hù)相對(duì)人的信賴和交易安全。而意思表示也分為有具體的相對(duì)人和無具體的相對(duì)人。

最后借用《神探狄仁杰》的一句臺(tái)詞作為結(jié)束。元芳每遇疑案，屢問狄仁杰，“大人的意思是……”狄大人標(biāo)準(zhǔn)回答“我沒有什么意思”，此處玄機(jī)，只有狄大人才深知了……

4.暗網(wǎng)地下交易：你的密碼只值一分錢

過去的一個(gè)月里，互聯(lián)網(wǎng)世界的安全團(tuán)隊(duì)幾乎都陷入泥淖。幾乎每一天，都有數(shù)以億萬計(jì)的被竊取的用戶信息資料出現(xiàn)在暗網(wǎng)上，從主要的互聯(lián)網(wǎng)企業(yè)那里流出的數(shù)據(jù)售價(jià)僅為幾個(gè)比特幣的價(jià)值（每個(gè)約400美元）。每個(gè)銷售底貨背后都有一個(gè)共同的名字：Peace_of_mind。

Peace_of_mind 或者稱之為Peace，在暗網(wǎng)的黑市TheRealDeal上販賣數(shù)據(jù)。他（或者是她）的評(píng)價(jià)頁面基本上是百分之百的滿意度，買家給的反饋能達(dá)到A+++，買家提出的問題也能迅速得到反饋。在Peace日益龐大的數(shù)據(jù)商品中，包括1億6700萬LinkedIn用戶賬號(hào)，3億6000萬MySpace用戶賬號(hào)，6800萬Tumblr用戶賬號(hào)，以及來自俄羅斯社交媒體平臺(tái) VK.com的1億賬號(hào)，加上最近曝出的7100萬Twitter賬號(hào)，總計(jì)超過8億，并且這個(gè)數(shù)字還在持續(xù)增長中。

Peace獲取數(shù)據(jù)的渠道目前尚不清楚。這些數(shù)據(jù)大部分都是來自之前2012年的數(shù)據(jù)泄露，但是后果已經(jīng)非常嚴(yán)重,可能是因?yàn)楹芏嗍芎φ咴诓煌W(wǎng)站使用相同的密碼。黑客還入侵了扎克伯格，Twitter創(chuàng)始人Ev Williams和眾多名人的Twitter賬戶，甚至還有歌手德雷克和凱特佩里,可能還存在更多不為人知的攻擊。事實(shí)上，這些數(shù)據(jù)泄露覆蓋范圍非常廣泛，幾乎每一個(gè)生活在數(shù)字世界中的人都會(huì)或多或少受到影響。

這周早些時(shí)候, Wired雜志通過暗網(wǎng)的RealDeal市場交易系統(tǒng)聯(lián)系到了名為“Peace”的黑客，并且以加密的匿名通訊方式對(duì)他進(jìn)行了采訪。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。